Du ville ikke ønsker at flyve på et fly, der ikke har haft sin regelmæssige sikkerhed inspektion. Eller tage en tur uden at kontrollere din olie og dæk inflation. Eller gå glip af en årlig tur til lægen – ville du? På samme måde, med jævne mellemrum vurdere din IT-sikkerhed er en vigtig del af din organisations forebyggende vedligeholdelsesplan.

Sikkerhed er for det meste en usynlig attribut. Vi har tendens til at sætte det op og derefter glemme alt om det. Men hver af os har vores blinde pletter, får os til at gå glip af ting. Vores infrastruktur ændrer sig over tid, muligvis åbnes for nye sårbarheder. Og nye metoder til angreb er opfundet dagligt, så hvad var sikker i går ikke kan være sikker i dag.

Ligesom alle biler kommer med en liste over planlagte vedligeholdelse elementer, bør din IT-organisation har en liste af sikkerhedsfunktioner til revision med regelmæssige mellemrum. Du kan gøre mange af dem selv, men der er ingen erstatning for at have en uafhængig ekspert lejlighedsvis kontrollere for din blinde pletter.

Hvorfor gennemføre periodiske vurderinger?

Der er en lang liste over grunde til hvorfor du ønsker at gøre periodiske vurderinger, og en lige så lang liste over grunde hvorfor du bør. Et stigende antal organisationer er bundet af statslige bestemmelser, der dikterer, hvilke sikkerhedsforanstaltninger du skal have på plads, og hvordan de bør revideres. HIPAA, PCI, FISMA, Sarbanes-Oxley og Gramm-Leach-Bliley alle diktere hvordan at sikre forskellige typer data og de systemer, der styrer det. De kræver også regelmæssige sårbarhedsvurderinger kropsholdning, selv om de varierer på specifikke krav og tidsrammer.

Hvis du er faktisk ikke bundet af nogen af disse statslige forskrifter, kan stadig du bruge dem som ressourcer til at hjælpe guide din egen IT sikkerhedspraksis. ISO 27002 er en god generisk sikkerhed standard, og vi diskuterede værdien af FISMA til hver organisation i Q4 2006-udgaven af The Barking segl.

Der er mange fordele ved at gøre periodiske vurderinger ud over blot i overensstemmelse med statslige regler. Foretage regelmæssige vurderinger kan hjælpe dig med at:

- Find ud af om din sikkerhed allerede er blevet kompromitteret. Du kan ikke, medmindre du ser, og du vil sove bedre om natten hvis du kender. - Holde styr på de nyeste sikkerhedstrusler — med nye angreb kommer på scenen hver dag, kan du blive sårbare, selvom intet er ændret siden din sidste vurdering! - Sørg for, at medarbejderne bliver opmærksomme ved at fastholde fokus på IT-sikkerhed. - Øge kendskabet til og forståelse af sikkerhedsproblemer i hele virksomheden. - Gøre smart sikkerhed investeringer ved at prioritere og fokusere på høj-betydning, høj-payoff elementer. - Vise dine kunder at sikkerhed er vigtigt for dig-det viser dem, at du bekymre sig om dem og deres data.